Image credit: magnific
150 Situs Utilitas Tiruan Susupkan Malware Kripto – Aktivitas pencarian perangkat lunak (software) gratis di internet kini telah bertransformasi menjadi ladang ranjau siber yang sangat berbahaya.
Sebuah kampanye kejahatan siber canggih berjenis cryptojacking dilaporkan tengah agresif membidik para pengguna komputer yang sedang mencari berbagai aplikasi utilitas PC populer di mesin pencari.
Para peretas secara lihai memikat korban untuk mengunduh berkas digital yang telah disusupi kode jahat, guna membajak daya pemrosesan kartu grafis (GPU) mereka demi menambang aset kripto secara rahasia.
Sindikat penjahat siber ini diketahui telah membangun infrastruktur penipuan berskala besar yang mencakup lebih dari 150 situs web unduhan palsu.
Tampilan visual dan domain dari ratusan situs web tersebut dirancang sedemikian rupa agar terlihat sangat identik dengan portal resmi tepercaya.
Beberapa nama program utilitas populer yang namanya dicatut dan dipalsukan oleh peretas antara lain:
- CrystalDiskInfo.
- HWMonitor.
- Display Driver Uninstaller (DDU).
- FurMark.
- K-Lite Codec Pack.
- PDFgear.
|
Baca juga: Kedok Privasi Telegram |
Infiltrasi Lewat Hasil Jawaban Chatbot AI
Siapa pun yang terkecoh mengunjungi salah satu dari 150 situs palsu tersebut dan menekan tombol unduh, akan mendapatkan sebuah file arsip terkompresi berformat ZIP.
Di dalam arsip ZIP tersebut, peretas memasukkan installer perangkat lunak yang asli sekaligus menyembunyikan berkas dokumen beracun yang berisi malware.
Laporan investigasi mendalam yang dirilis oleh tim peneliti pada akhir Mei 2026 ini mengungkap sebuah fakta baru yang sangat mengkhawatirkan terkait metode penyebaran tautan beracun tersebut.
Jika dahulu peretas hanya mengandalkan teknik optimasi mesin pencari (SEO Poisoning) agar situs palsu mereka bertengger di halaman utama Google, kini kampanye tersebut telah meluas hingga ke dalam ekosistem ruang obrolan kecerdasan buatan.
Sepanjang kuartal kedua tahun 2026, para peneliti mengamati adanya kasus di mana korban menerima rekomendasi tautan ke domain berbahaya milik peretas langsung dari jawaban atau saran yang diberikan oleh chatbot AI.
Fenomena ini menandai pergeseran taktis yang sangat mengkhawatirkan, di mana pelaku kejahatan siber berhasil meracuni basis data atau memanipulasi algoritma pencarian AI.
Padahal, bagi sebagian besar pengguna internet modern, ruang obrolan AI sering kali dianggap sebagai tempat referensi yang jauh lebih aman dan tepercaya dibandingkan hasil pencarian web konvensional.
Motivasi kalkulatif juga terlihat jelas dari pemilihan jenis aplikasi yang dipalsukan. Dengan meniru perkakas penguji performa gawai seperti FurMark atau HWMonitor.
Peretas secara sengaja menyaring target mereka agar mengarah spesifik kepada para pemilik komputer berspesifikasi tinggi, seperti:
- Pemain game berat (gamers).
- Antusias perangkat keras (hardware enthusiasts).
- Serta para pengembang teknologi kecerdasan buatan (AI developers).
Logika peretas dalam kampanye siber ini sangat taktis: mereka tidak perlu menginfeksi jutaan komputer berspesifikasi rendah.
Melainkan cukup menguasai sedikit gawai namun mampu memeras nilai komputasi GPU secara maksimal dari setiap mesin yang berhasil dikuasai.
Kronologi Rantai Infeksi
Proses infiltrasi bermula saat pengguna mengekstrak file ZIP dan menjalankan apa yang mereka kira sebagai file instalasi aplikasi utilitas resmi.
Di dalam folder tersebut, sistem operasi Windows dipaksa untuk memuat sebuah file eksekusi nakal bernama autorun.dll.
Yang secara otomatis mendampingi jalannya program asli. Metode manipulasi ini dikenal dalam dunia siber sebagai teknik DLL Sideloading.
Taktik DLL Sideloading menjadi senjata andalan peretas karena metode ini memanfaatkan celah logika bawaan sistem operasi dalam membaca pustaka kode.
Sehingga tidak memerlukan adanya kecacatan perangkat lunak (software exploit) pada komputer korban.
Dampaknya, proses infeksi berjalan sangat bersih di latar belakang tanpa memunculkan peringatan mencurigakan atau jejak visual apa pun di layar monitor korban.
1. Ekstraksi File Zip (Initial Run).
Aplikasi utilitas resmi diluncurkan bersamaan dengan berkas autorun.dll, lalu Teknik DLL Sideloading mengeksekusi kode tersembunyi tanpa memicu alarm.
2. Penanaman Backdoor (Screenconnect).
Berkas autorun.dll menjatuhkan file vcredist_x64.dll via Windows Installer. Kemudian Aplikasi Screenconnect terpasang untuk membuka hak kendali jarak jauh.
3. Injeksi Penambang Kripto (Process Hollowing).
Gawai terhubung ke C2 server 193.42.11[.]108, mengunduh SimpleRunPE.exe. Malware melakukan process hollowing, menyisipkan gminer ke biner Windows.
Begitu file autorun.dll aktif, ia akan memerintahkan Windows Installer untuk menjatuhkan file biner kedua bernama vcredist_x64.dll. File ini merupakan paket instalasi tersembunyi untuk aplikasi kendali jarak jauh resmi bernama ScreenConnect.
Melalui pemasangan ScreenConnect secara ilegal ini, komputer korban seketika terhubung ke server komando peretas (Command and Control / C2) yang berlokasi di alamat IP 193.42.11[.]108.
Dari saluran akses jarak jauh itulah, peretas menyuntikkan file eksekusi pamungkas bernama SimpleRunPE.exe. File inilah yang mengemban tugas berat untuk membangun dominasi jangka panjang di komputer korban.
SimpleRunPE.exe akan memodifikasi kunci registri sistem (Registry Run keys) serta membuat jadwal tugas otomatis (scheduled tasks) agar malware selalu aktif setiap kali komputer dinyalakan.
Ia juga menambahkan aturan pengecualian pada Windows Defender agar aktivitasnya tidak terdeteksi. Langkah terakhirnya adalah meluncurkan teknik Process Hollowing.
Sebuah metode di mana peretas mengosongkan memori dari proses bawaan Microsoft yang sah dan berstatus tepercaya (seperti vlc.exe yang menyamar), lalu mengisinya dengan kode penambang kripto.
Bergantung pada arsitektur GPU korban, malware akan meluncurkan salah satu dari tiga alat penambang berat: gminer, lolMiner, atau SRBMiner-MULTI.
Untuk menghindari kecurigaan pengguna, malware ini juga dibekali kemampuan pengawasan yang cerdas. Ia secara konstan memantau daftar aplikasi yang sedang berjalan.
Jika mendeteksi pengguna sedang membuka alat pemantau sistem seperti Windows Task Manager, Process Hacker, atau Process Explorer, malware akan menghentikan aktivitas penambangan secara instan demi menyembunyikan lonjakan beban GPU.
Begitu aplikasi pemantau tersebut ditutup oleh pengguna, aktivitas pengurasan daya kartu grafis akan kembali berjalan secara senyap di latar belakang.
Strategi Mitigasi Perlindungan Jaringan
Pemanfaatan aplikasi ScreenConnect dalam kampanye ini mengubah setiap komputer yang terinfeksi menjadi pintu masuk permanen bagi peretas di dalam jaringan.
Bahaya laten yang mengintai adalah meskipun pengguna berhasil mendeteksi dan menghapus program penambang kripto (gminer/lolMiner), pintu belakang (backdoor) ScreenConnect yang tertanam mungkin tetap aktif.
Memberikan jalan bagi peretas untuk menyusup kembali kapan saja guna meluncurkan serangan yang jauh lebih destruktif seperti pencurian data massal hingga penyebaran ransomware.
Sebagai langkah mitigasi umum, tim pertahanan siber dan para peneliti keamanan merekomendasikan beberapa tindakan preventif yang ketat:
1. Pantau Lonjakan Anomali Perangkat Keras.
Tim operasional TI harus memasang sistem peringatan otomatis jika terjadi lonjakan penggunaan daya GPU yang tidak wajar.
Terutama pada komputer pemrosesan data maupun server internal kantor, atau saat komputer berada dalam kondisi idle atau tidak sedang digunakan untuk merender video/AI.
2. Audit Instalasi Aplikasi Remote.
Lakukan audit secara berkala terhadap setiap sesi dan instalasi aplikasi kendali jarak jauh seperti ScreenConnect atau AnyDesk.
Pastikan tidak ada aplikasi remote yang terpasang di luar persetujuan tertulis dan pengawasan departemen TI korporasi.
3. Perketat Aturan Filter DNS Korporasi.
Blokir seluruh lalu lintas DNS yang mengarah ke subdomain dari penyedia DNS dinamis gleeze[.]com.
Konfigurasikan gerbang internet kantor agar membatasi pengunduhan file arsip terkompresi (seperti ZIP atau RAR) dari domain yang tidak dikenal atau baru dibuat.
4. Terapkan Edukasi Skeptisisme Chatbot AI.
Perusahaan harus memperbarui kurikulum pelatihan kesadaran siber karyawan dengan menekankan bahwa rekomendasi tautan yang diberikan oleh chatbot AI tidak menjamin keamanan berkas.
Karyawan harus dilatih untuk selalu melakukan verifikasi manual dan hanya mengunduh perangkat lunak langsung dari situs web vendor resmi pengembang asli.
5. Aktivasi Alarm File Spesifik.
Pasang aturan pendeteksian otomatis (endpoint telemetry) untuk memblokir kemunculan berkas dengan nama spesifik seperti:
- SimpleRunPE.exe.
- Autorun.dll.
- Atau vcredist_x64.dll
Jika terdeteksi berada di dalam folder temporer (AppData/Local/Temp) atau direktori yang tidak semestinya.
Ekosistem Ancaman Siber
Kampanye cryptojacking massal via eksploitasi utilitas PC ini menjadi bukti nyata bahwa ekosistem ancaman siber terus bergerak dinamis memanfaatkan tren teknologi.
Keberhasilan peretas menyusupkan tautan unduhan palsu ke dalam sistem rekomendasi chatbot AI meruntuhkan benteng psikologis terakhir dari pertahanan pengguna yang selama ini menganggap AI sebagai filter informasi yang tepercaya.
Di era digital per Juni 2026 ini, keselamatan aset digital korporasi maupun privasi data individu tidak lagi bisa digantungkan pada kecerdasan mesin otomatis di internet.
Ketahanan siber sejati lahir dari kombinasi antara ketatnya pengawasan hak istimewa instalasi gawai, kedisiplinan menerapkan prinsip Zero Trust pada setiap jalur unduhan, serta pemanfaatan solusi perlindungan proaktif yang mampu membaca anomali perilaku sistem secara komprehensif.
Sumber berita:
